汽車電子連環(huán)話︱自動駕駛層級L1到L5，這里面的技術貓膩說給你聽

不同自動駕駛層級的區(qū)隔，不僅僅是個數(shù)字，也不是我們說能到就能到的。從 L2=》L3 以上，主要在自動化功能 DDT（OEDR）、ODD 和 Fallback 設計上面有巨大的差異。

第一部分 自動化功能

這里就是從 2=》高階系統(tǒng)的設計分水嶺，在參考文獻 2 里面講的比較清楚：

1）設計的適用范圍(Operational Design Domain)

在公共道路上，使用車上測試和部署自動駕駛系統(tǒng)（HAV），應該鑒定并記錄 HAV 系統(tǒng)的 ODD，描述具體的操作范圍，應包括以下信息來定義系統(tǒng)的性能：安全運行道路類型、地理范圍、速度范圍、操作環(huán)境(天氣，白天和夜間等)和其他限制。

對 HAV 系統(tǒng)，應評估、測試、對系統(tǒng)功能驗證進行記錄。

應制定評估 HAV 系統(tǒng)性能測試和驗證的方法

制造商和其他機構(gòu)應開發(fā)和應用測試和標準，為每一個 HAV 系統(tǒng)建立安全的 ODD。

這里的基本要求為：

系統(tǒng)應該在 ODD 范圍內(nèi)要安全的運行

偏離 ODD 時，或 ODD 動態(tài)下降時，車輛應以最小風險的狀態(tài)過渡。

車主要容易理解這個 ODD 的情況，理解系統(tǒng)的性能和局限性

2）目標和意外的檢測與響應(OEDR)

檢測到需要而立即進行駕駛操作進行應對的情況（對這種情況的響應），在 L3 及以上，當 ODD 和自動駕駛功能已被啟用時，系統(tǒng)負責執(zhí)行 OEDR。

應對 OEDR 能力進行評估、測試、驗證

應對可能影響安全操作的其他車輛、行人、自行車、動物和物體進行具備檢測和響應功能。

應能處理各種情況，包括急救車、臨時工作區(qū)、和異常情況(如交警手動指揮、道路維修、緊急救援)

3）最小風險狀況)動態(tài)駕駛?cè)蝿胀顺?/p>

應能檢測功能失靈，退化或者在 ODD 范圍外，能通知駕駛員來重新對車輛進行接管以將風險降到最低。

L3 自動駕駛功能退出應以方便車輛的安全操作和盡量減少不穩(wěn)定駕駛

L4 以上 必須能退回到一個無人類駕駛員的最小的風險狀況

Crash Avoidance Metrics Partnership (CAMP) Automated Vehicle Research (AVR) Consortium 這里不少聯(lián)合的廠家有做過一些梳理：

從這個維度來看，就不難理解為啥走一步是如此艱難了

就是對軟件的需求和架構(gòu)的需求都是新的挑戰(zhàn)（考慮了下面的系統(tǒng)安全和不考慮是兩回事）

第二部分 系統(tǒng)安全：這部分默認是車企應該具有的，涉及兩個部分

1）對廠家的要求

應以系統(tǒng)不存在不合理的安全性風險為目標，并基于系統(tǒng)工程方法上進行魯棒性設計和驗證過程。

應包含當車輛在電力、電子、機械失效或者軟件錯誤時維持安全狀態(tài)的功能

需要覆蓋車輛的全生命設計周期。

應包括系統(tǒng)危險分析和安全性風險評估

整個汽車設計在適用時將會集成到更大的交通系統(tǒng)中（ITS）

應描述處理系統(tǒng)失效的冗余性設計和安全策略

應把重點放在軟件的發(fā)展、驗證和校驗上

2）NHTSA 對系統(tǒng)安全的管理

除此之外有一點有些有趣，這里提到了

Tool II: Functional and System Safety

設計和生產(chǎn)過程=》檢測、分類并降低與內(nèi)部故障有關的安全風險

NHTSA’s Vehicle Performance Guidance outlines the actions manufacturers and other entities should take during the design and production processes to detect, classify, and mitigate the safety risks associated with internal failures. Ensuring that these efforts are made during the design and production processes will be critical because evaluating them in completed vehicles would be difficult.

The Agency could also take several additional steps.

上報在功能安全分析中確認的嚴重風險

NHTSA could use its reporting authority to require manufacturers to report serious risks identified during the manufacturer’s Functional Safety analysis.

Those risks could be indicative of potential safety-related defects.

在必要時修改設計，將高級別風險降至可接受的水平

NHTSA might also require manufacturers to modify their designs as necessary to reduce high-level risks to acceptable levels.

Clarifying the Agency’s authority in this regard would facilitate the smooth implementation of functional and system safety measures.

It also would bring NHTSA’s practices more into line with those other agencies  use to ensure the safety of software-driven products and systems.

我們從邏輯上去分析，其實可以分析和評估一套硬件系統(tǒng)（部件）所能達到的功能安全的特性，從這點上評估，硬件先安裝，讓參考文件 1 提供了一個有趣的例子，我也開始理解在設計和實施部署過程中，從概念到實際需要多大的跨越，這塊用以太：

小結(jié)：周四周五我去聽董兄的課，做一些筆記看看，我個人真的看不到一年開發(fā)軟件可以達到 L5 的潛力。